凌云时刻 · 技术
导读:在后疫情时代,勒索病毒携带着日趋成熟的手段革新和愈发隐蔽、复杂的“进化”能力,开启了“重装上阵”的疯狂模式。
作者|阿里云存储
来源|凌云时刻(微信号:linuxpk)
前言
2020 年,注定是要被历史铭记的一年,除了肆虐全球的新冠病毒,网络“疫情”也没有消停,各种新型勒索病毒不断涌现,黑客组织陆续壮大,甚至不少国外一些主流的勒索病毒运营团队在国内寻找勒索病毒分销运营商,通过暗网与国外运营商进行合作,进行勒索病毒的分发传播,谋取暴利。
2020 年勒索病毒事件
在魔幻的 2020 年,从勒索病毒新面孔 WannaRen 火上热搜,到知名 B 站 UP 主被勒索后在线求助,可以看出勒索病毒依然是网络病毒中的“顶流”。下面我们来盘点部分 2020 年全球勒索病毒大事件。
3 月,特斯拉、波音、洛克希德·马丁公司和 SpaceX 等行业巨头的精密零件供应商,总部位于科罗拉多州丹佛的 Visser Precision 遭受勒索软件 DoppelPaymer 攻击,黑客已经泄漏 Visser Precision 与特斯拉和 SpaceX 签署的保密协议。
4 月,葡萄牙跨国能源公司(天然气和电力)EDP(Energias de Portugal)遭 Ragnar Locker 勒索软件攻击,10TB 的敏感数据文件遭泄,赎金高达 1090 万美金。根据 EDP 加密系统上的赎金记录,攻击者能够窃取有关账单、合同、交易、客户和合作伙伴的机密信息。
6 月,日本汽车巨头本田的服务器遭受到了 Ekans 勒索软件攻击,这款新型病毒具有锁定工厂中的工业控制系统和机械的功能,直接重创本田的工业生产核心,导致其日本总部以外多国工厂出现了生产停顿问题。韩国两大电子巨头 SK Hynix、 LG 电子的网站被 Maze 组织攻击,大量机密被窃取。
7 月,日本数码摄像机厂商佳能遭受 Maze 团伙勒索攻击,其中影响包含电子邮件、微软团队、美国网站以及其他内部应用程序。美国知名穿戴设备制造商佳明(Garmin)遭 WastedLocker 勒索软件攻击,导致国际服务器瘫痪,攻击者向 Garmin 索要高达 1000 万美元赎金。
8 月,全球最大的游轮运营商嘉年华游轮集团(Carnival Corporation)遭受了勒索病毒攻击。嘉年华公司指出,攻击者“访问并加密了公司信息技术系统的一部分”,入侵者还从公司的网络下载了文件。
9 月,德国杜塞尔多夫大学医院遭遇勒索软件攻击,造成 IT 系统中断,进而导致门诊治疗和紧急护理无法正常进行。一名患者被迫转移到另一家医院接受救治。然而在转移途中,患者不幸身亡。此事件被认为是首例因勒索攻击导致人员死亡案例,德国警方也将案件性质调升为谋杀案。
10 月,物联网厂商研华科技遭遇了来自 Conti 勒索软件团伙的攻击,黑客组织提出了 750 个比特币的赎金要求(约合 1300 万美元),否则将会把所盗数据逐步泄露在网络上。德国第二大软件供应商 Softawre AG 遭到勒索软件“Clop”的攻击,其内部软件被加密,该攻击发起者要求提供 2000 万美元,才能给到解密密钥。
11 月,位于墨西哥的富士康工厂遭到了 DoppelPaymer 勒索软件的攻击。DoppelPaymer 加密了约 1200 台服务器,窃取了 100GB 的未加密文件,删除了 20TB 至 30TB 的备份内容,并要求富士康支付 1804 枚比特币(约为 3468 万美元)以获取解密工具。
12 月,印度电子商务支付系统和金融技术公司 Paytm 被勒索软件攻击,遭受了大规模的数据泄露,其电商网站 Paytm Mall 的中心数据库被入侵,黑客在向 Paytm Mall 索要赎金的同时,并未停止在黑客论坛上出售其数据。
2020 年五大勒索病毒
通过分析 2020 年的勒索攻击事件,可以发现勒索软件的攻击是全球性、广泛性发展的,并且勒索攻击呈现集聚化发展,主要的勒索攻击事件都来自少数几个勒索软件家族。
Maze 勒索软件是 ChaCha 的一个变种。最初,Maze 是使用如 Fallout EK 和 Spelevo EK 之类的漏洞利用工具包通过网站进行传播,该工具包利用 Flash Player 漏洞。后续 Maze 勒索软件增加了利用 Pulse VPN 的漏洞与 Windows VBScript Engine 远程代码执行漏洞的能力。
Maze组织的独到之处在于,它会运行独特的脚本检测受感染机器是家用电脑、服务器还是工作站,之后根据受害者设备价值来确认勒索的具体金额。
Ryuk 勒索病毒主要是通过网络攻击手段利用其他恶意软件如 Emotet 或 TrickBot 等银行木马进行传播,由黑客团伙 GrimSpider 幕后操作运营,被用于对大型企业及组织进行针对性攻击。
Ryuk 特别狡诈的一个功能是可以禁用被感染电脑上的 Windows 系统还原 Windows System Restore 选项,令受害者更难以在不支付赎金的情况下找回被加密的数据。
DoppelPaymer 是 BitPaymer 勒索软件的一类新变种,代表了勒索软件攻击的新趋势——勒索文件加密和数据窃取双管齐下。DoppelPaymer 至少有 8 种变体,它们逐渐扩展各自的特征集。
DopelPaymer 受到 Maze 勒索软件的极大启发,但其勒索信息并不会提示受害组织数据已被盗,仅提供支付赎金的网站地址。
Clop 勒索病毒首先会结束电脑中运行的文件进程,增加加密过程的成功率,背后团队的主要目标是加密企业的文件,收到赎金后再发送解密器。
与其他勒索病毒不同的是,Clop 勒索病毒部分情况下携带了有效的数字签名,这意味着它在部分拦截场景下更容易获取到安全软件的信任,进而感染成功,造成无法逆转的损失。
Ekans 勒索病毒(也称 Snake)的主要目标是工业控制系统(ICS)环境,通过解析受害者公司的域名,并将这些信息与 IP 列表进行比较,来确认目标。一旦目标被捕获,Ekans 就会扫描域控制器以进行攻击。
Ekans 代码中包含一系列特定用于工业控制系统功能相关的命令与过程,可导致与工业控制系统(ICS)操作相关的诸多流程应用程序停滞。
勒索病毒发展趋势
勒索病毒是近年来黑客组织牟取暴利的绝佳手段,也是发展最快的网络安全威胁之一。在后疫情时代,勒索病毒携带着日趋成熟的手段革新和愈发隐蔽、复杂的“进化”能力,开启了“重装上阵”的疯狂模式。
在对受害者的数据库进行加密之前,攻击者会提取大量敏感的商业信息,并威胁不支付赎金就发布这些信息,使得机构不仅要面临破坏性的数据泄露,还有相关的法规、财务和声誉影响,这给企业增加了满足黑客要求的压力。
勒索病毒所攻击的对象,已经不限于个人 PC、防护能力较弱的传统企业、政府、学校网站,万物互联时代的工厂、工业设备、智能摄像头、路由器等诸多设备也被当成目标锁定。黑客通常通过向互联网开放的 IoT 设备来访问公司网络,每个连接的设备都是黑客安装 IoT 勒索软件并要求付款的潜在入口。
大型政企机构的网络资产价值高,所以成了勒索病毒的头号“猎物”。为了“一网打尽”,勒索病毒往往会在攻陷一台机器后,再利用其进行较长时间持续渗透,攻陷更多机器后再大量植入文件加密模块,造成政企的业务系统大面积瘫痪。根据 COVEWARE 公司的报告,2020 年第一季度,企业平均赎金支付增加至 111,605 美元,比 2019 年第四季度增长了 33%。
受新冠疫情大流行和全球数字化进程加快的驱动,数以百万计远程办公场景的快速激增一定程度上因网络开放度的提升和接口的增多,而给勒索病毒造就了新的攻击面。Datto 的《Global State of the Channel Ransomware Report》(全球渠道勒索软件状况报告)显示,59% 的受访者表示由于冠状病毒(COVID-19)大流行而导致的远程工作导致勒索软件攻击的增加。
根据咨询机构的相关数据,疫情当前,近 70% 的企业组织计划增加云的投入,而微服务、容器化、DevOps、持续交付等特点,也让云原生将重塑 IT 技术体系。达摩院 2021 十大科技趋势认为,云原生可将网络、服务器、操作系统等基础架构层高度抽象化,降低计算成本、提升迭代效率,大幅降低云计算使用门槛、拓展技术应用边界。因此,基于云架构的层次化防勒索预案方案将成为数据安全的重要手段。
今天,勒索病毒是所有数字化从业者都必须面临并予以重视的安全威胁, 而勒索病毒的防治是需要涵盖网络安全、数据备份、人员意识提升等多方面因素在内的全面的、 多线程的一体化工作。这份工作,不容懈怠。
点击文末“阅读原文”进一步了解阿里云勒索病毒解决方案。
END
精品机械键盘抽奖中,邀请伙伴助力中奖几率翻倍!
开奖时间:2021 年 1 月 5 日
赶紧转发至朋友圈,呼唤好友一起
抽 奖 吧 !
长按扫描二维码关注凌云时刻
每日收获前沿技术与科技洞见
